Visualizzare e gestire i log di controllo per Google Workspace

Questo documento descrive come configurare, visualizzare e instradare gli audit log per Google Workspace a Google Cloud. Instradando gli audit log a Google Cloud, puoi diagnosticare e risolvere problemi comuni relativi alla sicurezza e alla conformità dei dati.

Per una discussione concettuale sugli audit log di Google Workspace, consulta Log di controllo per Google Workspace.

Panoramica

Puoi condividere gli audit log con la tua organizzazione Google Cloud utilizzando il tuo account Google Workspace, Cloud Identity o Google Drive Enterprise. Puoi accedere agli audit log condivisi tramite Cloud Logging in Google Cloud.

In Google Cloud puoi accedere agli audit log di Google Workspace, Cloud Identity e Google Drive Enterprise dei seguenti servizi:

Audit log amministrativi
Log di controllo di Enterprise Groups
Log di controllo dell'accesso
Audit log dei token OAuth
Log di controllo SAML

Per maggiori informazioni sugli audit log di questi servizi, consulta Informazioni specifiche per i servizi.

Prima di iniziare

Per visualizzare gli audit log per Google Workspace in Google Cloud, assicurati di disporre delle autorizzazioni corrette per visualizzare gli audit log per Google Workspace.

Le autorizzazioni e i ruoli IAM determinano la tua possibilità di accedere ai dati degli audit log nell'API Logging, in Esplora log e in Google Cloud CLI.

Per informazioni dettagliate sulle autorizzazioni e i ruoli IAM a livello di organizzazione di cui potresti aver bisogno, consulta Controllo dell'accesso con IAM di Cloud Logging.

Visualizzare i log di controllo nella Console di amministrazione Google

Puoi visualizzare i log di controllo per Google Workspace direttamente nella Console di amministrazione Google. Per informazioni su come visualizzare questi audit log, consulta i seguenti argomenti:

Condividi audit log con Google Cloud

Per attivare la condivisione dei dati di Google Workspace con Google Cloud dal tuo account Google Workspace, Cloud Identity o Google Drive Enterprise, segui le istruzioni in Condividere i dati con i servizi Google Cloud.

Dopo aver abilitato la condivisione dei dati di Google Workspace con Google Cloud, Google Cloud riceve tutti gli audit log per Google Workspace. Per escludere determinati audit log da Google Cloud, configura i sink con i filtri di esclusione. Non puoi utilizzare la pagina IAM nella console Google Cloud per disabilitare selettivamente la condivisione dei dati.

Visualizza gli audit log per Google Workspace in Google Cloud

Per visualizzare gli audit log per Google Workspace in Logging, utilizza il linguaggio delle query di Logging per selezionare i dati. Come minimo, devi conoscere l'identificatore della tua organizzazione Google Cloud. Puoi specificare ulteriormente altri campi indicizzati LogEntry, come resource.type, e filtrare per tipi di evento.

Ecco i nomi dei log di controllo che si applicano a Google Workspace:

Audit log degli accessi ai dati:

organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Audit log delle attività di amministrazione:

organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

Nei nomi dei log precedenti, ORGANIZATION_ID si riferisce all'organizzazione Google Cloud per la quale vuoi visualizzare gli audit log.

Sono disponibili diverse opzioni per visualizzare le voci del log di controllo:

Console

Per ottenere le voci degli audit log per la tua organizzazione Google Cloud utilizzando Esplora log nella console Google Cloud, segui questi passaggi:

Nel pannello di navigazione della console Google Cloud, seleziona Logging e poi Esplora log:
Vai a Esplora log
Nel menu Selettore progetto, seleziona un'organizzazione.
Dal menu a discesa Risorsa, seleziona il tipo di risorsa di cui vuoi visualizzare gli audit log.
Nel menu a discesa Nome log, seleziona data_access per gli audit log di accesso ai dati o activity per gli audit log di Attività di amministrazione.

Se non vedi queste opzioni, significa che i log di controllo non sono attualmente disponibili nell'organizzazione.
(Facoltativo) Puoi creare un filtro nel riquadro Query Builder per specificare ulteriormente i log da visualizzare. Per scoprire di più sull'esecuzione di query sui log, consulta Creare query.

API

Per leggere le voci dell'audit log utilizzando l'API Logging, segui questi passaggi:

Vai alla sezione Prova questa API nella documentazione relativa al metodo entries.list.
Inserisci quanto segue nella parte Corpo della richiesta del modulo Prova questa API. Se fai clic su questo modulo precompilato, il corpo della richiesta viene compilato automaticamente, ma devi fornire un ORGANIZATION_ID valido in ogni nome di log.
```
      {
        "resourceNames": [
          "organizations/ORGANIZATION_ID"
        ],
        "pageSize": 5,
        "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
      }
```
Fai clic su Execute (Esegui).

Per maggiori dettagli sull'utilizzo dell'API Logging per leggere i log, consulta il linguaggio delle query di Logging.

gcloud

Google Cloud CLI fornisce un'interfaccia a riga di comando per l'API Cloud Logging. Per leggere le voci dell'audit log, esegui questo comando:

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

Sostituisci ORGANIZATION_ID in ciascuno dei nomi dei log con l'ID dell'organizzazione Google Cloud per cui vuoi leggere gli audit log.

Per ulteriori informazioni su questo comando, consulta la documentazione di riferimento su gcloud logging read.

Ogni servizio Google Workspace che fornisce audit log acquisisce eventi specifici per il servizio. Se vuoi leggere i log per un particolare evento controllato, ad esempio un accesso riuscito o un accesso revocato, aggiungi quanto segue al filtro e fornisci un valore EVENT_NAME valido:

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

Per un elenco dei nomi di eventi validi e dei relativi parametri, consulta la documentazione dell'API Reports e scegli tra i servizi elencati.

Ad esempio, se vuoi leggere i log ogni volta che il servizio di accesso segnala che una password dell'account è stata modificata, il filtro avrà il seguente aspetto:

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

Esegui il routing degli audit log da Google Cloud

Una volta che gli audit log per Google Workspace sono in Google Cloud, puoi instradare i log alle destinazioni supportate. Ad esempio, puoi creare un sink per instradare i log a Splunk o BigQuery. Per una panoramica concettuale di come vengono instradati i log da Cloud Logging, consulta Panoramica su routing e archiviazione.

Poiché gli audit log per Google Workspace sono log a livello di organizzazione, puoi instradarli utilizzando sink aggregati a livello di organizzazione verso queste destinazioni:

Per istruzioni sulla configurazione dei sink per il routing dei log, consulta Raccogliere e indirizzare i log a livello di organizzazione alle destinazioni supportate.

Personalizza il periodo di conservazione dei dati

I periodi di conservazione di Cloud Logging si applicano agli audit log archiviati nei bucket di log.

Per conservare gli audit log più lunghi rispetto ai periodi di conservazione predefiniti, puoi configurare la conservazione personalizzata.

Passaggi successivi

Risolvi i problemi relativi ai log di controllo per Google Workspace.
Consulta le best practice per Cloud Audit Logs.
Scopri di più sui log di Access Transparency per Google Workspace.